PfSense vs IPv6 e CGNAT



  • Olá pessoal, como o IPv6 está aí e o CGNAT também. Pensei em abrir este tópico que tenho certeza vai ser muito procurado.

    A intenção deste tópico e trocar experiência, resultados e ideias entre SysAdmins para contornar esta situação do CGNAT . Como o fim do IPv4 as operadoras de internet, tais como Copel, Netvirtua e Telefônica, aqui da minha região (Curitiba – Paraná) já estão atrás de cgnat que não deixa fazer as conexões "entrantes" corretamente. Dificultando o acesso (Portas, SSH, TS entre outros) e até mesmo backup online de clientes dentro de um serviço de nuvem ficou limitado

    Li tópicos e tutoriais de pessoas que obtiveram sucesso com a configuração de tunnel broker utilizando serviços da SixXS (Usei e Funcionou) e Hurricane, entre outros, para a esta finalidade de conversão de IPv4 para IPv6 e vice-versa, como os demais colegas de profissão estão se saindo com quando se deparam com essa situação?

    Obs: O PfSense não faz essa conversão automática…



  • Temos filiais utilizando BelFibra, e a solução momentânea está sendo utilizar um proxy tcp em um servidor cloud e a filial se conecta via vpn a ele. Mas a idéia é, após aprender mais sobre Ipv6, eliminar a vpn e manter o proxy, pois o servidor cloud tem ipv4 e ipv6 disponível. Com isso, a princípio, conseguiremos chegar de um Ipv4 até o Ipv6 via esse proxy.



  • Pois é Carlos…. Legal a saída de que adotaram, porém se não tiver muita pratica o pessoal vai ter um pouco de dificuldade. A gente conseguiu utilizando o serviço da SixXS ou IPv6 para IPv6, , porém tivemos caso te habilitar o IPv6 na rede local e alguns ERPs começarem a apresentar problemas. o bom seria se as pontas de ambos os firewall fizessem essa conversão. Tem muito SysAdmin que ainda vai se deparar com essa situação. Valeu por ter compartilhado nessa troca de conhecimento.



  • Fala Rapaziada… Vejam a resposta que recebi da Copel:

    A Copel Telecom, assim como as demais operadoras e provedores, seguindo as orientações do Grupo de Trabalho para Implementação do IPv6 (GT-IPv6), uma Força Tarefa da Anatel junto as principais operadoras de Internet do Brasil, iniciou a implementação do protocolo IPv6 e da técnica de CGNAT para contornar a falta de endereços IPv4 na Internet.

    O CGNAT utiliza o protocolo NAT para contornar a falta de endereço IPv4. Essa técnica entrega um endereço privado previsto na RFC 6598 às ONTs, realizando a tradução deste endereço para um IPv4 público compartilhado.

    A utilização do CGNAT limita a criação de redirecionamento de portas ou DMZ na rede local do cliente.

    Isso era previsto pelo GT-IPv6. Desta forma, foi sugerido que um endereço IPv6 público seja entregue a cada dispositivo na rede local do cliente, possibilitando a conectividade fim-a-fim prevista desde o início da Internet e eliminando por completo a necessidade de NAT, redirecionamento de portas ou DMZ. A entrega dos dois protocolos é chamada de dual stack ou pilha dupla.



  • Bem isso João Jaime…. Essa pratica adotada bloqueia todas as portas inclusive o ICMP para utilizar o Hurricane e SixXS.... Acabando com a possibilidade de usar NAT e deixando alguns serviços na mão, tais como: VPN, OpenVPN, DVRs, Sistema em Java/Web, Terminal Server, SSH entre outros.

    Obs: Apenas IPv4.... IPv6 continua normal



  • E você conseguiu fazer o setup do Pfsense em IPv6?
    Tenho feito testes com a WAN em DHCPv6, com a LAN como Track interface mas mesmo após muitos testes não consegui conectividade da LAN do firewall pra fora. O endereçamento surge corretamente de acordo com o prefixo mas nada de navegação.
    Minha intenção era conseguir conectividade para depois pensar em bloqueio. liberações e recursos adicionais…
    Desculpa fazer a postagem tanto tempo depois do Tópico aberto mas de fato estão escassos os tópicos pt-br sobre o IPv6 e ele já está batendo na porta.....abraço!



  • Aproveitando o tópico! Tenho várias dúvidas sobre IPV6 ainda… Tenho equipamentos na minha rede que não suportam IPV6. É possível mandar a WAN com IPV6 e a LAN com IPV4? Caso afirmativo, qual a técnica, NAT64, GRE, etc;???



  • Tambem estou com problema, coloquei fibra da copel e eles entregam ipv4 via cgnat, preciso fechar a vpn onde meu cenário são 5 filiais utilizando ipv4 e matriz utilizando ipv6, como tenho 2 links de internet ainda não virei o sistema por conta desse impecilio, vi o pessoal comentando que estão utilizando tunnelBroker, porem se eu utilizar tunnelBroker vou ter que configurar nas 5 filiais.



  • Olha, uma solução pra você seria instalar um link de ip direto (ip dedicado) na matriz e colocar as filiais como clientes na VPN. Dessa forma você pode configurar um open VPN tranquilamente… quanto ao IPv6 da forma como a Copel entrega não funciona... se eles entregassem um /56 fixo talvez mas com um /64 dinâmico fica impossível. Nos laboratórios que fiz consigo chegar na wan para administração através de um registro quadA em um DNS como esse: https://dynv6.com/hosts (sem criar o "A"). Também consegui navegação em IPv6 utilizando ULA e passando pelo proxy (o que é totalmente errado) mas foi somente um lab...nas configurações "corretas" deve colocar a lan em track interface, os hosts ficam com ipv6 mas não navegam. Me parece que existe um recurso de relay específico nos open wrt que são capazes de fazer essa forma de entrega de ip funcionar, mas não vi nada na prática ainda.
    Agora resta saber como as outras operadoras entregarão o IPV6 ou esperar alguma nova feature nas próximas versões que seja capaz de resolver isso pois com o CGNAT e sem IPv6 essa "bomba" vai explodir mais rápido que pensamos...





  • o problema que o ip direto da copel é muito caro, eu pago 249,00 por 150Mbps creio que o ip direto vou pagar uns 700,00 no minimo.



  • A antiga GVT (Vivo) tem uma range maior de ips, talvez ainda seja possível contratar um ip fixo por uns $100 a mais mensal. Nesse cenário teu upload não teria nem comparação com o Copel mas funcionaria.. de qualquer forma (sem nenhuma ofensa) se você tem 5 filiais pra conectar um único link de IP direto não é um exagero.
    Ao menos resolveria….



  • Acabei de cancelar a VIVO, tinha ip fixo pagava 50,00 pelo ip fixo, porem a vpn não ficava legal usando a vivo, utilizava somente quando dava pau no link principal, nesse link principal tenho 10Mbps de upload dá conta legal, só coloquei uma regras de controle de trafego pq o pessoal as vezes copiava alguns arquivos meio pesado do servidor de arquivos ai a rede ficava lenta, do mais o link de 10Mbps dá conta tranquilo.



  • Pessoal, andei lendo este tópico e talvez aqui possam me ajudar em uma dificuldade em conectar via openvpn usando cgnat.

    cliente em casa usando CGNAT não consegue conectar via openvpn ao pfsense na empresa! Fiz testes sem cgnat e volta a funcionar normalmente.

    Alguém tem uma dica quanto a isso?

    Desde já obrigado.



  • veja o modem dele…alguns tem opção pass through para VPN desmarcada por padrão...veja se a rede dele interna não é a mesma da empresa...



  • @hugoteleco:

    Pessoal, andei lendo este tópico e talvez aqui possam me ajudar em uma dificuldade em conectar via openvpn usando cgnat.

    cliente em casa usando CGNAT não consegue conectar via openvpn ao pfsense na empresa! Fiz testes sem cgnat e volta a funcionar normalmente.

    Alguém tem uma dica quanto a isso?

    Desde já obrigado.

    Manda ele criar uma conta em um desses serviços de DNS dinâmico.



  • Olá, vou me meter um pouco na conversa!
    Sou novo nesse negócio aqui, mas se alguém se interessar:
    eu criei uma OpenVPN com IPv6 da Copel, entre diversas pontas e está funcionando super bem.
    Tive que contornar um problema de troca do ip dinâmico, mas está funcionando bem!
    Troco gigas de dados todos os dias entre as pontas.
    Usei o dns dinamico da HE.net, e também criei um programa para windows para conseguir um acesso simplificado às pontas com IPv6 quente.
    Se for estas as situações de vocês, ou problemas similares, estou aí.



  • @empbilly:

    @hugoteleco:

    Pessoal, andei lendo este tópico e talvez aqui possam me ajudar em uma dificuldade em conectar via openvpn usando cgnat.

    cliente em casa usando CGNAT não consegue conectar via openvpn ao pfsense na empresa! Fiz testes sem cgnat e volta a funcionar normalmente.

    Alguém tem uma dica quanto a isso?

    Desde já obrigado.

    Manda ele criar uma conta em um desses serviços de DNS dinâmico.

    Então mas o cliente já tem dyndns. A questão é o meu acesso em casa que mudou. Colocaram o (CG)NAT e agora o acesso ficou impossibilitado. Alguém conseguiu resolver essa questão? Ou só resolve mesmo com ip publico?



  • Pessoal, procurando por problemas entre pfsense e copel, cai nesse forum.
    Estou enfrentando um problema grande com isso, e não sei mais a onde recorrer, vou explicar meu caso:
    Tenho 3 links de internet=> um é da vivo, adsl 35mbps, outro é copel fibra 150mbps, e o outro é um link com 5 ip's validos da copel com 3mbps dedicados.
    O que eu fiz foi fazer o seguinte: Todas minhas conexões de entrada vem pelos ip's fixos dedicados da Copel, tudo normal (embora seja meio lento).
    Todo meu trafego de saída sai pela vivo ou pela Copel. O problema tá ai, por enquanto não coloquei nenhuma redundância automática, é na base da troca manual de cabos. Porem quando jogo na Copel 150mbps, os sites demoram muito pra carregar, muitas vezes tem que ficar atualizando 4 ou 5 vezes. Já na vivo é normal, funciona tudo numa boa.
    Não sei se seria algum problema entre meu servidor DNS (active directory) que não está resolvendo ip's através do modem da copel.
    Atualmente minha rede está assim=> modem vivo ou copel na placa WAN em DHCP do pfsense, modem da copel ip dedicado ligado na porta OPT1 em static ip, e minha LAN static normal.
    Meu DNS fica na LAN, meus computadores consultam o DNS e saem pelo modem da vivo na boa, troca pra copel e fica muito ruim, impossível de acessar sites. O comando nslookup sempre retorna o ipv4 e ipv6 dos sites, e as vezes falha.
    Se eu ligar um pc qualquer direto no modem da copel, funciona tudo normalmente, meu problema claramente está entre o pfsense e o modem da copel em diante.
    Alguém tem alguma dica?



  • Já entrou em contato com a copel pra verificar esses problemas?



  • Sim, a principio a parte deles está certa e funcionando. O problema é apenas quando ligo no pfsense.
    Como falei, se deixar ligado apenas em um computador, funciona que é maravilha.

    Acabei de fazer um teste com uma routerboard mikrotik, o problema é o mesmo…. internet funciona nos primeiros minutos e depois fica inutilizável. Vou ter que tentar recorrer ao suporte deles novamente, ou então cancelar.



  • @rodrigobad:

    Sim, a principio a parte deles está certa e funcionando. O problema é apenas quando ligo no pfsense.
    Como falei, se deixar ligado apenas em um computador, funciona que é maravilha.

    Acabei de fazer um teste com uma routerboard mikrotik, o problema é o mesmo…. internet funciona nos primeiros minutos e depois fica inutilizável. Vou ter que tentar recorrer ao suporte deles novamente, ou então cancelar.

    rodrigobad, não sei se é o caso, mas aqui na minha cidade a copel também é problemática. Muito estranho o problema estar todo do teu lado. Se tu já testou com o pfsense e agora com um mk, pode ser problema deles também.

    Já fez uma analise mais minuciosa dessa rede? Utilização do tcpdump, etc.



  • @empbilly:

    rodrigobad, não sei se é o caso, mas aqui na minha cidade a copel também é problemática. Muito estranho o problema estar todo do teu lado. Se tu já testou com o pfsense e agora com um mk, pode ser problema deles também.

    Já fez uma analise mais minuciosa dessa rede? Utilização do tcpdump, etc.

    Já olhei bastante coisa, o estranho é que funciona normal com um link da vivo de 35mbps.

    Bom, só para atualizar, liguei hoje pela manhã na copel, conversei com um atendente, e expliquei meu caso, começamos a conversar sobre o numero de conexões simultâneas e tudo mais, de inicio o atendente falou que teria um limite de 2000 conexões, o que acredito ser bastante alta se você não utilizar p2p na rede. Depois expliquei que tenho aproximadamente 600 equipamentos pendurados na minha rede, entre outras coisas, o atendente pediu um tempo e falou que iria ser feita uma configuração no meu plano. Até o momento está tudo normalmente, espero que se mantenha assim.



  • Nada, funcionou 2 dias e parou…. pqp
    perdendo as esperanças com essa copel



  • @fischerti:

    Olá, vou me meter um pouco na conversa!
    Sou novo nesse negócio aqui, mas se alguém se interessar:
    eu criei uma OpenVPN com IPv6 da Copel, entre diversas pontas e está funcionando super bem.
    Tive que contornar um problema de troca do ip dinâmico, mas está funcionando bem!
    Troco gigas de dados todos os dias entre as pontas.
    Usei o dns dinamico da HE.net, e também criei um programa para windows para conseguir um acesso simplificado às pontas com IPv6 quente.
    Se for estas as situações de vocês, ou problemas similares, estou aí.

    Estou precisando fechar uma vpn em ipv6 tbm com a copel telecom, estou com algumas duvidas do tipo, teria que colocar o modem como bridge, ou com o ip disponibilizado pelo modem ao pfsense já daria certo, vi tbm que vc utiliza o ddns da hurricane e queria saber se vc usa o serviço do pfsense para atualizar o ddns.



  • @rodrigobad:

    Nada, funcionou 2 dias e parou…. pqp
    perdendo as esperanças com essa copel

    Rodrigo, não uso muito o fórum, então se precisar me chama inbox que vem e-mail.

    Uso copel telecom, link de 150 megas em um cliente, link de 40 em outro, redundância com vivo, e por aí adiante
    Tudo copel, tudo pfsense, tudo rodando que é um tiro.

    Alguns testes para lhe ajudar:
    1. Quando vc troca o cabo, tentou reiniciar o firewall?
    2. Quando a lentidão começa, você tentou acessar por um notebook via wifi e realizar alguns testes?
    3. Se a lentidão é constante, você sabe dizer qual a latência do pfsense até o modem?
    4. O ambiente é virtualizado? (Hyper-v tem algumas questões de tipo de interface de rede).

    Sucesso, força aí.



  • @eduardocerqueirasilva:

    Estou precisando fechar uma vpn em ipv6 tbm com a copel telecom, estou com algumas duvidas do tipo, teria que colocar o modem como bridge, ou com o ip disponibilizado pelo modem ao pfsense já daria certo, vi tbm que vc utiliza o ddns da hurricane e queria saber se vc usa o serviço do pfsense para atualizar o ddns.

    Eduardo, abre um tópico novo… eu te respondo lá, me manda inbox que vou no tópico e escrevo alguns passos pra te ajudar.



  • @rodrigobad said in PfSense vs IPv6 e CGNAT:

    Pessoal, procurando por problemas entre pfsense e copel, cai nesse forum.
    Estou enfrentando um problema grande com isso, e não sei mais a onde recorrer, vou explicar meu caso:
    Tenho 3 links de internet=> um é da vivo, adsl 35mbps, outro é copel fibra 150mbps, e o outro é um link com 5 ip's validos da copel com 3mbps dedicados.
    O que eu fiz foi fazer o seguinte: Todas minhas conexões de entrada vem pelos ip's fixos dedicados da Copel, tudo normal (embora seja meio lento).
    Todo meu trafego de saída sai pela vivo ou pela Copel. O problema tá ai, por enquanto não coloquei nenhuma redundância automática, é na base da troca manual de cabos. Porem quando jogo na Copel 150mbps, os sites demoram muito pra carregar, muitas vezes tem que ficar atualizando 4 ou 5 vezes. Já na vivo é normal, funciona tudo numa boa.
    Não sei se seria algum problema entre meu servidor DNS (active directory) que não está resolvendo ip's através do modem da copel.
    Atualmente minha rede está assim=> modem vivo ou copel na placa WAN em DHCP do pfsense, modem da copel ip dedicado ligado na porta OPT1 em static ip, e minha LAN static normal.
    Meu DNS fica na LAN, meus computadores consultam o DNS e saem pelo modem da vivo na boa, troca pra copel e fica muito ruim, impossível de acessar sites. O comando nslookup sempre retorna o ipv4 e ipv6 dos sites, e as vezes falha.
    Se eu ligar um pc qualquer direto no modem da copel, funciona tudo normalmente, meu problema claramente está entre o pfsense e o modem da copel em diante.
    Alguém tem alguma dica?

    Bom dia Pessoal, sou novo no forum, procurando por respostas como a do nosso amigo rodrigobad, encontrei este post, tenho o seguinte cenário:
    pfsense com failover e load balance de dois links(copel 150mb e qnet 50 mb)
    quando ativo os dois links a navegação fica lenta, nem tem como navegar.
    Ativando somente o link da qnet, a navegação fica perfeita!
    Ativando somente o link da copel a net fica lenta, da mesma forma que quando as duas em conjunto.
    liguei na copel a respeito e me falaram que todos os testes foram perfeitos, e que o problema estava em minha rede, me falaram tbm a respeito de conexão simultanea, que o router da copel aguentaria somente 30 conexões simultaneas e que quando alcançado as 30 conexões, a proxima requisição derruba a primeira e assim por diante...
    creio que o certo seria trocar o plano!
    Alguém tbm passa por isso? Alguma sugestão?